Le 16 janvier 2023, le règlement DORA et la directive associée sont entrés en vigueur, après leur adoption par le Conseil de l'Union européenne en novembre 2022. Il s’agit d’un cadre réglementaire innovant qui s'attaque aux risques posés par la profonde transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques ainsi que par la multiplication de cyberattaques, de plus en plus sophistiquées, à l’encontre des acteurs du secteur financier.
Cette initiative s’inscrit dans le cadre de la stratégie en matière de finance numérique de la Commission européenne qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des consommateurs.
Ce nouveau cadre réglementaire comprend deux actes législatifs :
Le règlement DORA apporte, dans un seul acte législatif et pour la première fois de l’UE, un cadre détaillé et complet sur la résilience opérationnelle numérique pour les entités financières. Il prévoit également la mise en place d’un mécanisme de surveillance direct des prestataires de services TIC critiques au niveau de l’UE.
Retrouvez le replay de l'événement organisé le 12 mars 2024 avec la participation de l'ACPR, Microsoft, Crédit Agricole et Axa.
Au programme : les dernières informations sur la réglementation (ITS / RTS) par l'ACPR, une table ronde avec le témoignage d'acteurs des services financiers concernant leur projet DORA, la présentation par PwC d'outils et d'accélérateurs pour faciliter la mise en conformité.
Playback of this video is not currently available
Le règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux technologies de l’information et de la communication (TIC).
Le concept de résilience opérationnelle met ainsi l’accent sur la nécessité de faire évoluer l’approche de gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes vers une approche plus large et proactive. Cette dernière part du principe que les incidents, même les moins probables, vont se produire et qu’il faut être prêt à les traiter et à assurer la continuité des activités et services critiques ou importants.
Cette approche requiert de développer une connaissance fine du fonctionnement des activités de l’entreprise y compris de son écosystème afin d’identifier les risques et les menaces mais également d’évaluer les niveaux de perturbations acceptables pour l’organisation mais aussi du point de vue du client. Cette dynamique améliore l’agilité et la réactivité de l’organisation ce qui contribue à renforcer la confiance et la fidélité des clients.
Ainsi, il s’agit pour les entités financières d’appréhender le règlement DORA non pas comme une nouvelle contrainte réglementaire mais comme une réelle opportunité de se différencier sur le marché en renforçant leur résilience opérationnelle sur les risques informatiques, de cybersécurité, de continuité d’activité et sur les risques liés aux tiers.
Le règlement DORA s’applique à un très large éventail d’entités financières du secteur financier (établissements de crédit, entreprises d’investissements, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d’assurance et de réassurance, intermédiaires d’assurance et de réassurance…) ainsi qu’aux prestataires de services TIC qui opèrent au sein de l’Union européenne dans les services financiers.
Le règlement DORA s’appliquera directement à l’ensemble des États membres de l'UE à partir du 17 janvier 2025. Au cours des deux prochaines années, la Commission européenne publiera des actes délégués sur la base des projets finaux de normes réglementaires techniques et d’exécution (RTS et ITS) qui seront soumis conjointement par les autorités européennes de surveillance (EBA, EIOPA, ESMA). Ces textes viendront préciser certaines exigences du règlement DORA (niveau 1) et constitueront le niveau 2 de ce nouveau cadre réglementaire unifié visant à renforcer la résilience opérationnelle numérique du secteur financier.
La directive 2022/2556 devra, quant à elle, être transposée par les États membres d’ici le 17 janvier 2025.
Les entités financières et les prestataires de services TIC doivent dès à présent s’y préparer en analysant ces nouvelles exigences et en évaluant leurs impacts opérationnels mais aussi stratégiques.
Le règlement DORA identifie et propose des exigences relatives à 5 piliers essentiels de la résilience opérationnelle numérique que les institutions financières doivent mettre en œuvre.
Les entités financières doivent disposer d’un dispositif de gestion des risques liés aux TIC solide, complet et bien documenté, qui leur permet de parer à ces risques de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique.
Intégré au dispositif global de gestion des risques, il s’appuie sur une stratégie de résilience opérationnelle numérique qui définit les modalités de mise en œuvre du dispositif. Il doit être amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi.
Au cœur du règlement DORA, l'harmonisation de la notification des incidents liés aux TIC est un enjeu majeur. Cela permettra aux autorités de surveillance de réagir plus rapidement face à des cybermenaces, tout en aidant les entités financières à mieux comprendre l'évolution du paysage des menaces. Dans le cadre de ce pilier, les entités financières doivent définir et mettre en œuvre un processus de gestion des incidents TIC afin de détecter, de gérer et de notifier les incidents TIC.
Elles doivent enregistrer et classer tous les incidents liés aux TIC et les cybermenaces importantes selon les critères détaillés dans le règlement DORA et qui seront précisés par les autorités européennes de surveillance (ou AES : EBA, EIOPA et ESMA). Les incidents majeurs liés aux TIC doivent être reportés aux membres de la Direction et à l’organe de direction, et être déclarés aux autorités compétentes dans des délais et au moyen d’un modèle commun qui seront définis par les AES. Les entités financières pourront également, sur une base volontaire, déclarer les cybermenaces importantes.
Les entités financières, autres que les microentreprises, doivent établir, maintenir et réexaminer régulièrement un programme de tests de résilience opérationnelle numérique faisant partie intégrante du dispositif de gestion des risques liés aux TIC.
Le programme de tests de résilience numérique doit :
Les entités financières d’importance significative et cyber matures, désignées par les autorités compétentes, devront effectuer au moins tous les trois ans des tests avancés au moyen de tests de pénétration fondés sur la menace (« Threat-Led Penetration Testing » ou « TLPT »).
Pour en savoir plus : DORA : vers une évolution des pratiques de tests pour intégrer les enjeux de résilience opérationnelle numérique
Le règlement DORA introduit une harmonisation des exigences existantes en matière de gestion des risques liés aux tiers prestataires de services TIC. Les entités financières doivent notamment :
Définir une stratégie en matière de risques liés aux tiers prestataires de services informatiques
Définir une politique d'utilisation des services TIC concernant les fonctions critiques ou importantes
Tenir à jour un registre d’informations portant sur tous les contrats conclus avec les tiers prestataires de services TIC
Conduire des diligences avant l’entrée en relation et notamment évaluer le risque de concentration
Inclure dans les contrats des clauses standard minimales notamment en matière de résiliation
Mettre en œuvre une surveillance continue de la relation
Le règlement DORA introduit également un mécanisme de surveillance direct des prestataires de services TIC critiques par les AES au niveau de l’UE.
Le règlement DORA encourage vivement les entités financières à partager les renseignements et les informations sur les cybermenaces au sein de communautés d’entités financières de confiance. Cette démarche vise à sensibiliser aux cybermenaces et à soutenir les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation, de réponse et de rétablissement du secteur financier.
Découvrez les 10 enjeux clés pour réussir votre mise en conformité, issus des principaux messages et témoignages de la conférence « Règlement DORA : Décryptage, enjeux et partage d'expériences » organisée le 24 novembre 2022 par PwC France et Maghreb.
PwC France et Maghreb a constitué une équipe d’experts pluridisciplinaire afin de vous accompagner sur vos enjeux de mise en conformité aux nouvelles exigences de DORA et vous aider à renforcer votre résilience opérationnelle numérique.
Afin d’apporter une approche globale et coordonnée, PwC France et Maghreb a mis en place une équipe dédiée DORA composée d’experts pluridisciplinaires habitués à collaborer ensemble :
Nos experts DORA déploient des solutions digitales et des accélérateurs pour suivre l’état d’avancement du projet, construire la feuille de route, ainsi qu’élaborer des tableaux de bord consolidés sur la résilience opérationnelle numérique.
Nos experts DORA sont connectés avec les experts du réseau PwC pour partager leurs expériences et connaissances des exigences et des meilleures pratiques en matière de résilience opérationnelle numérique au niveau européen et international.
Romain Camus
Associé, Gestion des risques technologiques, secteur Banque, PwC France et Maghreb
Karine Pariente
Associée, Gestion des risques technologiques, secteur Assurance, PwC France et Maghreb
Jamal Basrire
Associé, Leader des activités Cloud Transformation et Cyber, PwC France et Maghreb